ตัวเลือกการอัพเดตอัตโนมัติของ Zoom สามารถช่วยให้ผู้ใช้มั่นใจได้ว่าพวกเขามีซอฟต์แวร์การประชุมทางวิดีโอ version ล่าสุดและปลอดภัยที่สุด แต่กลับกันมันก็มีปัญหาด้านความเป็นส่วนตัวและความปลอดภัยหลายประการในช่วงหลายปีที่ผ่านมา ซึ่งนักวิจัยด้านความปลอดภัยของ Mac ได้รายงานช่องโหว่ที่เขาพบในเครื่องมือที่ผู้โจมตีสามารถใช้เพื่อเข้าควบคุมคอมพิวเตอร์ของเหยื่อในงาน DefCon ปีนี้

ตามรายงานของ Wired ได้นำเสนอช่องโหว่สองจุดระหว่างการประชุม อันแรกคือในการตรวจสอบของแอพ ซึ่งรับรองความสมบูรณ์ของการอัพเดตที่กำลังติดตั้ง และตรวจสอบเพื่อให้แน่ใจว่า Zoom เป็น version ล่าสุด พวกเขาค้นพบว่าผู้โจมตีสามารถเลี่ยงการตรวจสอบได้ด้วยการตั้งชื่อไฟล์มัลแวร์ด้วยวิธีใดวิธีหนึ่ง และเมื่อเข้าไปแล้ว พวกเขาสามารถเข้าใช้และควบคุม Mac ของเหยื่อได้

The Verge กล่าวว่า ต้องย้อนกลับไปในเดือนธันวาคม 2021 Wired ได้เปิดเผยจุดบกพร่องให้ Zoom แต่การแก้ไขก็ยังมีข้อบกพร่องอีกประการหนึ่ง ช่องโหว่ที่สองนี้อาจทำให้ผู้โจมตีสามารถหลบเลี่ยงการป้องกันที่ตั้งค่าไว้เพื่อให้แน่ใจว่าการอัพเดตจะส่งแอปเวอร์ชันล่าสุด มีรายงานว่า Wardle นักวิจัยด้านความปลอดภัยพบว่ามีความเป็นไปได้ที่จะทำการลวงเครื่องมืออำนวยความสะดวกในการกระจายการอัพเดตของ Zoom ให้ยอมรับซอฟต์แวร์การประชุมทางวิดีโอเวอร์ชันเก่า

Zoom ได้แก้ไขข้อบกพร่องนั้นแล้วเช่นกัน แต่ Wardle พบช่องโหว่อื่นซึ่งเขาได้นำเสนอในที่ประชุมด้วย เขาพบว่ามีช่วงเวลาหนึ่งระหว่างการตรวจสอบชุดซอฟต์แวร์ของโปรแกรมติดตั้งอัตโนมัติกับกระบวนการติดตั้งจริงที่อนุญาตให้ผู้โจมตีใส่โค้ดที่เป็นอันตรายลงในการอัพเดต แพ็คเกจที่ดาวน์โหลดมาสำหรับการติดตั้งสามารถคงสิทธิ์ในการอ่าน-เขียนเดิมไว้ได้ โดยอนุญาตให้ผู้ใช้แก้ไขได้ นั่นหมายความว่าแม้แต่ผู้ใช้ที่ไม่มีการเข้าถึงรูทก็สามารถสลับเนื้อหาด้วยโค้ดที่เป็นอันตรายและเข้าควบคุมคอมพิวเตอร์เป้าหมายได้

ซึ่ง Zoom ได้รายงานกับ The Verge ว่าขณะนี้กำลังดำเนินการแก้ไขสำหรับช่องโหว่ใหม่ที่ Wardle ได้เปิดเผย ตามที่กล่าวไว้ใน Wired ผู้โจมตีจำเป็นต้องมีการเข้าถึงอุปกรณ์ของผู้ใช้เพื่อให้สามารถใช้ประโยชน์จากข้อบกพร่องเหล่านี้ได้ แม้ว่าคนส่วนใหญ่จะไม่เกิดอันตรายในทันที แต่ Zoom แนะนำให้ผู้ใช้ "อัพเดตแอปเวอร์ชันล่าสุดอยู่เสมอ" ทุกครั้งที่มีแอพออกมา

ที่มา : The Verge